• Homepage
  • Articoli
  • Marketing
  • Come garantiamo i più elevati standard di privacy e conformità dei dati all'interno di Intercom

Come garantiamo i più elevati standard di privacy e conformità dei dati all'interno di Intercom

Pubblicato: 2022-10-20

In Intercom, crediamo che la fiducia sia al centro di ogni relazione tra un'azienda e i suoi clienti.

Man mano che le aziende crescono e si ridimensionano, devono continuare a guadagnare e costruire su quella fiducia in ogni modo possibile, ma con stack tecnologici in rapida espansione, non sono solo le proprie politiche aziendali che devono monitorare, ma quelle di ogni azienda con cui collaborano .

Questo è il quinto post di una serie di contenuti che esplora l'investimento di Intercom nel supportare le grandi aziende. Esplora altri articoli della serie.

I tuoi dati sono la nostra risorsa più importante. Lo proteggiamo per tutto il suo ciclo di vita con solide pratiche di sicurezza, formazione personalizzata del personale in base al ruolo e rigorosa conformità alle normative. Gestiamo la sicurezza dei tuoi dati in modo che tu possa concentrarti sull'acquisizione, il coinvolgimento e la fidelizzazione dei tuoi clienti.

Non lasciamo nulla di intentato quando si tratta di privacy dei dati

Intercom è un elaboratore di dati e ci prendiamo la massima cura con tutti i dati che tocchiamo. Con oltre tre miliardi di record di utenti finali e oltre 640 milioni di conversazioni finora facilitate tra le aziende ei loro utenti, sono moltissimi dati!

Ci prendiamo cura dei tuoi dati dall'importazione alla cancellazione. In questo post ti parleremo di come proteggiamo i tuoi dati durante:

  • Archiviazione, elaborazione e trasmissione
  • Accesso
  • Scadenza e cancellazione

Elaborazione, conservazione e trasmissione

Poiché i dati sono la nostra risorsa chiave, confidiamo che vengano gestiti solo da fornitori di servizi di terze parti che soddisfano e mantengono la nostra barra di sicurezza. Prima che un fornitore venga acquisito, i nostri team IT, legali e di sicurezza rivedono completamente le loro pratiche di sicurezza e privacy dei dati. Gli unici fornitori che hanno accesso ai tuoi dati sono nel nostro elenco ufficiale dei sub -incaricati .

"Puoi scegliere di ospitare i tuoi dati in una regione che si adatta ai tuoi requisiti di conformità e offre tranquillità a te e ai tuoi utenti"

Puoi scegliere di ospitare i tuoi dati in una regione che si adatta ai tuoi requisiti di conformità e offre tranquillità a te e ai tuoi utenti. I servizi di interfono e i dati sono ospitati in strutture Amazon Web Services (AWS) negli Stati Uniti (us-east-1), Dublino, Irlanda (eu-west-1) e Sydney, Australia.

Costruiamo i nostri servizi pensando al ripristino di emergenza. Tutta la nostra infrastruttura e i dati sono distribuiti in tre zone di disponibilità AWS e continueranno a funzionare in caso di guasto di una di queste.

I dati sono mantenuti al sicuro a riposo e in transito. Tutti i dati inviati a o da Intercom tramite la nostra API e gli endpoint delle applicazioni vengono crittografati utilizzando TLS v1.2. Ciò significa che utilizziamo solo suite di crittografia avanzate e funzionalità come HSTS e Perfect Forward Secrecy completamente abilitate. Garantiamo inoltre la crittografia a riposo utilizzando un algoritmo di crittografia AES-256 standard del settore per tutti i dati del processore dei clienti.

TL; DR:

  • Facciamo hosting regionale in AU, UE e USA
  • I dati vengono crittografati a riposo e in transito con crittografia a 256 bit
  • Condividiamo i dati solo con i fornitori elencati nel nostro elenco di subincaricati

Accesso ai dati

L'accesso ai dati dei clienti è limitato ai dipendenti autorizzati che ne hanno bisogno per il proprio lavoro. Viene concesso solo quando serve, con scadenza ove possibile. Quando la scadenza non è disponibile, i proprietari degli strumenti rivedono e accedono alla linea di base trimestralmente.

Sfruttiamo un provider di identità per fornire e limitare l'accesso a tutte le principali applicazioni aziendali e di produzione. Implementiamo un'architettura di sistema Zero Trust che impone l'autenticazione biometrica sui dispositivi gestiti dall'azienda, garantendo che l'accesso a tutti i servizi cloud sia adeguatamente protetto.

Sicurezza dei dipendenti

Consentiamo e autorizziamo i nostri dipendenti a prendere decisioni sicure con i nostri dati sui prodotti e sui clienti ogni giorno attraverso una combinazione di formazione e governance relativa alla conformità.

Addestramento

Tutti i dipendenti completano la formazione sulla sicurezza e sulla sensibilizzazione alla privacy ogni anno e utilizziamo corsi di formazione Slack rapidi e coinvolgenti durante tutto l'anno per tenere in primo piano le conoscenze sulla sicurezza delle persone. Integriamo la formazione a livello aziendale con una formazione specifica per ruolo per gruppi ad alto rischio come l'assistenza clienti e l'ingegneria.

"Conduciamo test di phishing per tutti i dipendenti su base continuativa e siamo lieti di segnalare un tasso di superamento >96% per l'intera organizzazione, con formazione supplementare ove necessario"

Conduciamo test di phishing per tutti i dipendenti su base continuativa e siamo lieti di segnalare un tasso di superamento >96% per l'intera organizzazione, con formazione supplementare ove necessario.

Controlla l'accesso al tuo spazio di lavoro

Abbiamo parlato di noi che accediamo ai tuoi dati, ma per quanto riguarda il tuo team? Intercom utilizza le funzionalità delle applicazioni aziendali per darti un controllo granulare sull'accesso (da parte dei tuoi compagni di squadra e utenti) e sull'eliminazione dei dati.

Puoi controllare l'accesso al tuo spazio di lavoro con SAML SSO e autenticazione a due fattori. Una volta che i tuoi compagni di squadra sono all'interno del tuo spazio di lavoro, usa livelli di autorizzazione e ruoli granulari per specificare chi può accedere a determinati dati o intraprendere azioni distruttive, su larga scala. Inoltre, se hai bisogno di controllare quali azioni intraprendono i compagni di squadra all'interno dell'area di lavoro, puoi controllare i registri delle attività dei compagni di squadra per identificare chi c'è dietro le modifiche critiche, ad esempio: eliminazioni o esportazioni di dati.

Verifica dell'identità

Intercom offre anche una sicurezza aggiuntiva per Intercom Messenger per impedire agli utenti di impersonarsi a vicenda o di accedere alle conversazioni reciproche. L'abilitazione della verifica dell'identità garantirà che gli utenti con cui parli siano chi dicono di essere. Questa è un'aggiunta fortemente consigliata a qualsiasi installazione Intercom.

TL; DR:

  • Utilizziamo il privilegio minimo per tutti i dipendenti Intercom su tutti i sistemi, con revisioni degli accessi trimestrali e baseline per tutti gli strumenti che elaborano i tuoi dati
  • Abbiamo formazione specifica per ruolo e test di phishing per preparare il nostro personale
  • Abbiamo anche funzionalità dell'app di livello aziendale che ti offrono questo livello di controllo sui dati nel tuo spazio di lavoro

Scadenza e cancellazione dei dati

Abbiamo compiuto sforzi significativi per allinearci al GDPR prima della sua introduzione nel 2018, concentrandoci su rigorosi sforzi di mappatura dei dati, formazione, aggiornamenti della documentazione e revisioni della conservazione dei dati per ogni dato che archiviamo ed elaboriamo. Creiamo una cultura in cui ogni dipendente comprende l'importanza di un asset di dati - e la sua classificazione - in modo da creare un ecosistema di dati sicuro per te. Abbiamo anche un responsabile della protezione dei dati nominato all'interno del nostro team legale per guidare i nostri sforzi di protezione dei dati.

“Non conserviamo i dati che non ci servono”

Non conserviamo i dati di cui non abbiamo bisogno. Scadiamo le aree di lavoro inattive dopo 13 mesi e i dati sui visitatori del sito web dopo nove mesi.

Se i tuoi utenti richiedono l'eliminazione di un utente GDPR DSAR e lo esegui in Intercom, iniziamo a elaborare tale eliminazione immediatamente e automaticamente. Lo stesso vale se scegli di eliminare il tuo spazio di lavoro Intercom e tutti i dati associati.

TL; DR:

  • Rispettiamo e ti aiutiamo a rispettare il GDPR dell'UE
  • Mappiamo tutti i nostri flussi di dati
  • Abbiamo la cancellazione dell'area di lavoro immediatamente su richiesta o dopo 13 mesi di inattività
  • I dati dei visitatori scadono dopo 9 mesi

Conformità: non crederci sulla parola

La conformità è un obiettivo importante per noi di Intercom e dedichiamo un intero team all'interno del nostro più ampio team di sicurezza delle informazioni (per non parlare del nostro team legale) per garantire che aderiamo agli standard globali che proteggono i dati dei clienti.

A tal fine, perseguiamo i più elevati standard di accreditamento riconosciuto dal settore in modo che tutti i nostri clienti, grandi e piccoli, possano avere fiducia nelle nostre politiche e procedure. Tutti i nostri rapporti e certificazioni sulla conformità alla sicurezza sono disponibili su richiesta.

SOC 2

Intercom è sottoposto a controlli annuali e mantiene la conformità SOC 2 di tipo 2 concentrandosi sui principi del servizio fiduciario di sicurezza e disponibilità. Questi controlli forniscono un riconoscimento a livello di settore che le aziende sono conformi allo standard SOC 2 dell'American Institute of Certified Public Accountants ("AICPA"), che misura la sicurezza e la disponibilità e serve a garantire che i tuoi dati vengano gestiti in un ambiente controllato e verificato.

HIPAA

Intercom ha mantenuto un rapporto di attestazione HIPAA dal 2021, che copre la gestione e la salvaguardia delle informazioni sanitarie protette (PHI) e delle informazioni sanitarie protette elettroniche (ePHI). Ci impegniamo a eseguire questo esame di attestazione HIPAA ogni anno, per garantire la conformità continua e continuare a dimostrare l'importanza che attribuiamo alla protezione delle informazioni sanitarie protette dei nostri utenti finali.

"Siamo vigili e cerchiamo continuamente vulnerabilità, configurazioni errate e minacce che potrebbero mettere a rischio i tuoi dati"

ISO/IEC 27001 e ISO/IEC 27018

Intercom possiede le certificazioni ISO/IEC 27001 e ISO/IEC 27018 in linea con la guida all'implementazione ISO/IEC 27002. Intercom viene sottoposto a audit di certificazione e sorveglianza ogni anno per mantenere queste certificazioni.

ISO/IEC 27001 si riferisce al sistema di gestione della sicurezza delle informazioni (ISMS) di Intercom, che è un framework di politiche, procedure e controlli di sicurezza in atto per gestire e proteggere i dati critici di Intercom. ISO/IEC 27018 si riferisce al codice di condotta per la protezione delle informazioni di identificazione personale (PII) nei cloud pubblici.

Questi certificati stabiliscono obiettivi di controllo, controlli e linee guida comunemente accettati per l'attuazione di misure per proteggere i dati più critici di Intercom, comprese le PII.

Conformità al GDPR

I nostri team si sono assicurati di aver rispettato il GDPR dal momento in cui è entrato in vigore e continuiamo a dedicare molto tempo e sforzi alla conformità al GDPR. Ecco cosa abbiamo fatto:

  • Abbiamo creato nuove funzionalità per consentire ai nostri clienti di soddisfare facilmente i propri obblighi GDPR
  • Contratti di elaborazione dati aggiornati
  • Garantito che fossimo certificati per i trasferimenti internazionali di dati
  • Nominato un responsabile della protezione dei dati
  • Coordinato con i fornitori in merito alla conformità al GDPR
  • Rinforzato e aggiunto alle misure di sicurezza regolarmente

Ma non ci siamo fermati qui, siamo sempre alla ricerca di modi per migliorare. Siamo vigili e analizziamo continuamente vulnerabilità, configurazioni errate e minacce che potrebbero mettere a rischio i tuoi dati.

"L'applicazione e l'infrastruttura Intercom vengono esaminate in dettaglio dai ricercatori di sicurezza su base continuativa"

L'applicazione e l'infrastruttura Intercom vengono esaminate in dettaglio dai ricercatori di sicurezza su base continuativa. Integriamo il nostro test del codice statico e dinamico con test di penetrazione biennali e un programma pubblico "bug bounty" . I nostri rapporti di pentest sono disponibili su richiesta a tutti i clienti esistenti e potenziali.

Siamo costantemente alla ricerca di modi per portare i nostri standard di privacy e conformità dei dati a nuovi livelli e rafforzare le nostre politiche di protezione dei dati. Il nostro impegno nei confronti dei dati dei nostri clienti e dei loro clienti è il motivo per cui aziende di tutte le dimensioni si affidano a noi.

Qualcosa che ci sfugge? Facci sapere cosa vorresti vedere inviando un'e-mail a [email protected].

Questo è il quinto di una serie di contenuti che si tuffa negli investimenti di Intercom a sostegno delle grandi aziende. Esplora altri articoli della serie.